微点交流论坛

标题: Medusa：简单过卡巴09数字签名微软的数字签名 360verify.dll [打印本页]

作者: 点饭的百度空间 时间: 2008-12-2 18:03 标题: Medusa：简单过卡巴09数字签名微软的数字签名 360verify.dll

冒充微点的“Medusa美杜杉1号山寨杀软”？

微软的数字签名

意思就是说该程序是安全的，有微软的数字证书为证，通常情况下的杀软啊、ANTIROOTKIT工具等是不会对这样的文件下手的，在这里不是讨论咋个过，只看哈在我们自己写程序如何加上这样一个功能。

  我目前找到的方法就2个（都贡献了，不藏着的）：
一、用360的。
   360有一个DLL文件，其中一个功能是对文件进行签名的验证，而这个DLL本身又是结果了微软签名，爽。360verify.dll，里面有3个导出函数
CheckFileTrustA
CheckFileTrustW
Validate360ResourceSignA
  从名字来看，前2个是我们需要的，分别对应ASCII和UNICODE的文件路径。
不知道函数的调用方式、调用参数、返回值等等。
OD载入，加载地址10001000， EntryPoint：1060
直接跳到10001060，
简单的跟踪后还原函数样子复制内容到剪贴板
代码:
BOOL CheckFileTrustA(TCHAR *FileName);测试关键代码如下：复制内容到剪贴板

代码详见:
http://tech.cuit.edu.cn/forum/thread-1798-1-2.html

OK，我知道的都写完了，睡觉～～～
XPSP2+VC6

[ 本帖最后由忘记密码于 2008-8-12 22:11 编辑 ]

作者: 独孤不平 时间: 2008-12-2 20:39
很强大

作者: 狙击virus 时间: 2008-12-3 09:46
CUIT???

居然在这能发现我的母校的牛人。。。 :(:(:(

作者: 点饭的百度空间 时间: 2009-1-19 10:30
伪造数字签名过卡巴09主动防御

[ Last edited by 点饭的百度空间 on 2009-1-19 at 10:38 ]

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn